Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Dansk Deutsch Español Français Italiano Nederlands Português Русский 汉语 漢語
Computer Security Bedrohung durch NjRAT-RAS-Trojaner in Npm-Paketen

Bedrohung durch NjRAT-RAS-Trojaner in Npm-Paketen

Von Basete in Computer Security
Übersetzen Sie in:
Deutsch

npm gehörtartige Rechte Npm ist ein Unternehmen, das sowohl kostenlose als auch kostenpflichtige Entwicklertools für JavaScript-Enthusiasten und Profis anbietet. Ende November fand Sonatype zwei Pakete in den Bibliotheken von npm, die schädlichen Code enthalten, und npm entfernte sie sofort. Zu diesem Zeitpunkt wurden die Pakete jedoch mehr als 100 Mal heruntergeladen.

Die Pakete, die schädlichen Code enthielten, hießen jdb.js bzw. db-json.js. Sie hatten beide den gleichen Autor. Nach der Beschreibung sollten beide Entwicklertools für Entwickler sein, die mit Datenbankanwendungen und speziell JSON- Dateien arbeiten.

Die Untersuchung von Sonatype ergab, dass der Schadcode ausgeführt wird, nachdem der Benutzer die Pakete importiert und installiert hat. Die erste Aufgabe danach wäre, grundlegende Informationen über das gefährdete System zu sammeln. Der nächste Schritt bestand darin, zu versuchen, eine Binärdatei herunterzuladen und auszuführen, die später njRAt installieren würde. NjRAT aka Bladabindi ist ein berüchtigter Remote Access Trojaner (RAT), der von vielen Cyberkriminellen wegen Spionage und Diebstahls von Informationen bevorzugt wird. Die Binärdatei, die njRAT installieren würde, wurde patch.exe genannt. Dieselbe Datei würde auch die Einstellungen der Windows-Firewall ändern, die den C2-Server der Bedrohung auf die Whitelist setzt. Dann würde der Code den Server anpingen und den Download der RAT starten.

Db-json.js sah auf den ersten Blick harmlos aus, da es Funktionscode enthielt und sogar eine echte README-Seite auf npm hatte. Die Datei wurde als Modul angekündigt, das Datenbanken aus JSON-Dateien erstellt. Der Haken war, dass, wenn ein Entwickler db-json.js verwenden würde, das Skript jdb.js heimlich als Abhängigkeit erzwingen würde und letztendlich njRAT immer noch das System infiltrieren würde.

Das Sicherheitsteam von npm gab Warnungen aus, nachdem die Pakete entfernt wurden. In den Warnungen wurde den Entwicklern empfohlen, dass ihre Systeme als vollständig kompromittiert angesehen werden sollten, wenn sie eines der beiden Pakete installiert hatten. RAT-Infektionen werden häufig als schwerwiegende Sicherheitsvorfälle angesehen, da sie Cyberkriminellen den uneingeschränkten Zugriff auf ein gefährdetes System ermöglichen. Dies ist nicht das erste Mal, dass böse Akteure npm-Bibliotheken verwenden, um Geräte zu infizieren. Versuche, Malware absichtlich über Schadpakete zu verbreiten, waren in den letzten Monaten häufiger.

Wird geladen...